pfSense: Site-to-Site VPN mit WireGuard (oder auch nicht)

Irgendwie habe ich mit der pfSense, wohlgemerkt in der Community Edition (CE), kein Glück mehr. Gefühlt seit Anfang 2021 gibt es immer häufiger Schwierigkeiten.

Das fing mehr oder weniger mit dem Absturz des DNS-Dienstes an, ging mit WireGuard weiter und traf schließlich auf OpenVPN, dazwischen gab es noch mehr, das sind allerdings so spontan die gröbsten Schnitzer die mir eingefallen sind. Irgendwie konnte immer alles umgangen oder gelöst werden, Spaß machen tut das so allerdings keinen.

Im Großen und Ganzen habe ich mit pfSense mittlerweile nichts mehr zu tun, das Hauptaugenmerk liegt mittlerweile schlicht auf Securepoint UTM. Es gibt lediglich noch eine pfSense-Installation in unserer Werkstatt die sporadisch entweder für Site-to-Site-OpenVPN, als PPPoE-Server genutzt wird, oder eben mal irgendwas ausprobiert wird.

Schon fast aus Tradition wollte ich jetzt das Site-to-Site-Thema hinsichtlich WireGuard aktualisieren, schließlich gab es ein paar Beiträge die sich damit befassten wie man das Ganze mit OpenVPN und Securepoint UTM macht. Wie schon beim WireGuard-Roadwarrior-Setup habe ich irgendwie keinen richtigen Erfolg dabei.

Auf Securepoint UTM-Seite diente die Anleitung aus dem Wiki dazu, den WireGuard-Teil einzurichten:

WireGuard Site-to-Site VPN (S2S)

Als Richtschnur für die pfSense-Seite diente unter anderem die Original-Dokumentation von Netgate:

WireGuard Site-to-Site VPN Configuration Example

Andere Dokus + Recherche wurden ebenfalls zu Rate gezogen.

Die Schlüssel erzeugen und entsprechend eintragen war dabei noch kein Problem. Der Handshake beiderseits klappt ebenfalls und ein- sowie ausgehenden Datenverkehr gibt es auch. Fehlt eines der beiden letztgenannten ist das im Rahmen des WireGuard-Troubleshootings immer ein Indikatoren dafür das irgendetwas mit den Schlüsseln nicht stimmt. Firewall-Regeln ebenso kein Ding und dennoch gibt’s ein Problem:

Von der UTM-Seite aus kann auf das entfernte Netz inkl. der pfSense zugegriffen werden. Umgekehrt, also von pfSense-Seite aus zur UTM und dem UTM-Netz, klappt das leider nicht.

Es gibt auf beiden Seiten keine Treffer in den Firewall-Logs, ergo sollten es die jeweiligen Regelwerke nicht sein. (Imho) Sieht das Ganze irgendwie nach Routing aus, wenn gleich mir nicht klar ist, warum es in einer Richtung funktioniert, allerdings ist die Routing-Konfiguration auf der pfSense auch relativ komplex.

Nach tagelangen probieren, abreißen, (wieder) neu machen, usw. habe ich das Ganze dann mal mit OpenWRT ausprobiert. Die UTM-Seite ist geblieben wie sie ist und die pfSense wurde durch OpenWRT ersetzt. Die gleichen Schlüssel und Netze wurden verwendet und siehe da, es läuft auf Anhieb. Dafür das ich zuvor noch nie etwas mit OpenWRT gemacht habe und echter Glückstreffer, ergo wird es vmtl. bald einen Beitrag hierzu geben. Der Vollständigkeit halber sei erwähnt, das Site-to-Site VPN auf WireGuard-Basis zwischen zwei Securepoint UTMs (natürlich) auch funktioniert.

Diese Zeilen sollen nun nicht als Abgesang auf pfSense (CE) verstanden werden, zumal es einen Unterschied macht, ob man die Community- oder Kommerzielle-Ausgabeverwendet. Ersteres bekommt keinen kommerziellen Support, letzteres schon.

Es ist halt frustrierend wenn man so lange an einem Thema “tüftelt” und es einfach nicht richtig funktionieren mag. Falls sich nochmal etwas Zeit und Nerven finden wird das nochmal angegangen.

Wenn jemand von euch das Problem kennt oder eine Idee dazu hat, dann einfach ein Kommentar schreiben.

1 Kommentar

  1. Andreas

    wie wäre es mal mit ipfire? Hat zwar noch kein Wireguard aber alles andere funktioniert gut. Ich nutze so eine Firewall an 3 Standorten ohne Probleme.
    Ist nicht kostenpflichtig aber Spendenbereit was ich gern benutze, denn das System ist gut gepflegt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑